Per me, il flusso di credenziali del client è come se il client richiedesse il token di accesso per se stesso, non per conto di qualche utente.
Quindi, perché al cliente piacerebbe limitare il proprio ambito? Qual è il vantaggio degli ambiti nel flusso delle credenziali del client?
Nel caso in cui un client richieda il token di accesso solo per un caso d'uso specifico per il quale è richiesto solo un sottoinsieme di ambiti, potrebbe avere senso che il client restringa l'ambito. In caso di perdita del token di accesso, un utente malintenzionato potrebbe accedere solo a questo caso d'uso.
Leggi altre domande sui tag oauth authorization oauth2